Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux d'activité Duo

Compatible avec :

Google SecOps SIEM

Ce document explique comment exporter les journaux d'activité Duo et les ingérer dans Google Security Operations en déployant le script d'ingestion écrit en Python en tant que fonction Cloud Run, et comment les champs de journaux sont mappés aux champs du modèle de données unifié (UDM) Google SecOps.

Pour en savoir plus, consultez Présentation de l'ingestion de données dans Google SecOps.

Un déploiement type se compose de l'activité Duo et du script d'ingestion déployé en tant que fonctions Cloud Run pour envoyer les journaux à Google SecOps. Chaque déploiement client peut être différent et plus complexe.

Le déploiement contient les composants suivants :

Activité Duo : plate-forme à partir de laquelle vous collectez les journaux.
Cloud Run Functions : script d'ingestion déployé en tant que Cloud Run Functions pour extraire les journaux de l'activité Duo et les ingérer dans Google SecOps.
Google SecOps : conserve et analyse les journaux.

Remarque : Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion DUO_ACTIVITY.

Avant de commencer

Assurez-vous d'avoir accès au panneau d'administration Duo.
Assurez-vous d'utiliser la version 2 ou une version ultérieure de l'API Duo Admin.

Configurer l'activité Duo

Connectez-vous au panneau d'administration Duo en tant qu'administrateur. Pour en savoir plus, consultez Présentation du panneau d'administration Duo Administration.
Cliquez sur Applications > Protéger une application.
Dans la liste des applications, cliquez sur API Admin > Protect (Protéger) pour obtenir votre clé d'intégration, votre clé secrète et le nom d'hôte de l'API.
Sélectionnez les autorisations requises que vous souhaitez accorder à l'application API Admin. Pour en savoir plus sur les autorisations requises pour les opérations respectives, consultez API Duo Admin.

Configurer l'ingestion des journaux pour Google SecOps

Créez un répertoire de déploiement pour stocker les fichiers des fonctions Cloud Run. Ce répertoire contiendra tous les fichiers nécessaires au déploiement.
Copiez tous les fichiers du sous-répertoire GitHub de l'activité Duo situé dans le dépôt GitHub Google SecOps vers ce répertoire de déploiement.
Copiez le dossier commun et tout son contenu dans le répertoire de déploiement.
Modifiez le fichier .env.yml pour ajouter toutes les variables d'environnement requises.
Configurez les variables d'environnement marquées comme Secret dans Secret Manager. Pour savoir comment créer des secrets, consultez Créer des secrets et y accéder.
Utilisez le nom de ressource du secret comme valeur pour les variables d'environnement.
Saisissez la valeur DUO_ACTIVITY dans la variable d'environnement CHRONICLE_NAMESPACE.
Dans le champ Code source, sélectionnez Importer un fichier ZIP.
Dans le champ Bucket de destination, cliquez sur Parcourir pour sélectionner un bucket Cloud Storage dans lequel importer votre code source lors du déploiement.
Dans le champ Fichier ZIP, cliquez sur Parcourir pour sélectionner un fichier ZIP à importer depuis votre système de fichiers local. Vos fichiers source de fonction doivent être situés à la racine du fichier ZIP.
Cliquez sur Déployer.

Pour en savoir plus, consultez Utiliser des scripts d'ingestion déployés en tant que fonctions Cloud Run.

Formats de journaux d'activité Duo acceptés

L'analyseur d'activité Duo est compatible avec les journaux au format JSON.

Exemples de journaux d'activité Duo compatibles

JSON

  {
    "access_device": {
      "browser": "Chrome",
      "browser_version": "127.0.0.0",
      "ip": {
        "address": "198.51.100.0"
      },
      "location": {
        "city": "Riverside",
        "country": "United States",
        "state": "California"
      },
      "os": "Windows",
      "os_version": "10"
    },
    "action": {
      "details": null,
      "name": "bypass_create"
    },
    "activity_id": "188c068b-1ef4-4c0a-80cc-700ee9a08612",
    "actor": {
      "details": "{\\"created\\": \\"2022-09-15T17: 27: 31.000000+00: 00\\", \\"last_login\\": \\"2024-08-26T22: 48: 50.000000+00: 00\\", \\"email\\": \\"test@gmail.com\\", \\"status\\": null, \\"groups\\": null}",
      "key": "dummyuserid",
      "name": "test",
      "type": "admin"
    },
    "akey": "DA06L58ASEO0DOKNXGXZ",
    "application": null,
    "old_target": null,
    "outcome": null,
    "target": {
      "details": "{\\"bkeys\\": [\\"DB8VPGAF6674GKS43FS9\\"], \\"count\\": 1, \\"valid_secs\\": 3600, \\"remaining_uses\\": 1, \\"auto_generated\\": true}",
      "key": "DU3H7GRU6UIENBKX5HRA",
      "name": "test",
      "type": "user_bypass"
    },
    "ts": "2024-08-26T22:49:21.975784+00:00"
  }

Référence du mappage de champs

Référence du mappage des champs : identifiant d'événement vers type d'événement

Le tableau suivant liste les types de journaux DUO_ACTIVITY et les types d'événements UDM correspondants.

Event Identifier	Event Type	Security Category
`admin_activate_duo_push`	`DEVICE_PROGRAM_DOWNLOAD`
`admin_factor_restrictions`	`RESOURCE_PERMISSIONS_CHANGE`
`admin_login`	`USER_UNCATEGORIZED`
`admin_rectivates_duo_push`	`DEVICE_PROGRAM_DOWNLOAD`
`admin_reset_password`	`USER_CHANGE_PASSWORD`
`admin_send_reset_password_email`	`EMAIL_TRANSACTION`
`bypass_create`	`RESOURCE_CREATION`
`bypass_delete`	`RESOURCE_DELETION`
`bypass_view`	`RESOURCE_READ`
`deregister_devices`	`USER_RESOURCE_DELETION`
`device_change_enrollment_summary_notification_answered`	`USER_COMMUNICATION`
`device_change_enrollment_summary_notification_answered_notify_admin`	`USER_COMMUNICATION`
`device_change_enrollment_summary_notification_send`	`USER_COMMUNICATION`
`device_change_notification_answered`	`USER_COMMUNICATION`
`device_change_notification_answered_notify_admin`	`USER_COMMUNICATION`
`device_change_notification_create`	`RESOURCE_CREATION`
`device_change_notification_send`	`USER_COMMUNICATION`
`group_create`	`GROUP_CREATION`
`group_delete`	`GROUP_DELETION`
`group_update`	`GROUP_MODIFICATION`
`hardtoken_create`	`RESOURCE_CREATION`
`hardtoken_delete`	`RESOURCE_DELETION`
`hardtoken_resync`	`RESOURCE_WRITTEN`
`hardtoken_update`	`RESOURCE_WRITTEN`
`integration_create`	`RESOURCE_CREATION`
`integration_delete`	`RESOURCE_DELETION`
`integration_group_policy_add`	`GROUP_UNCATEGORIZED`
`integration_group_policy_remove`	`GROUP_UNCATEGORIZED`
`integration_policy_assign`	`USER_UNCATEGORIZED`
`integration_policy_unassign`	`USER_UNCATEGORIZED`
`integration_skey_bulk_view`	`RESOURCE_READ`
`integration_skey_view`	`RESOURCE_READ`
`integration_update`	`RESOURCE_WRITTEN`
`log_export_start`	`USER_UNCATEGORIZED`
`log_export_complete`	`USER_UNCATEGORIZED`
`log_export_failure`	`USER_UNCATEGORIZED`
`management_system_activate_device_cache`	`DEVICE_CONFIG_UPDATE`
`management_system_active_device_cache_add_devices`	`RESOURCE_CREATION`
`management_system_active_device_cache_delete_devices`	`RESOURCE_DELETION`
`management_system_active_device_cache_edit_devices`	`RESOURCE_WRITTEN`
`management_system_add_devices`	`RESOURCE_CREATION`
`management_system_create`	`RESOURCE_CREATION`
`management_system_delete`	`RESOURCE_DELETION`
`management_system_delete_devices`	`RESOURCE_DELETION`
`management_system_device_cache_add_devices`	`RESOURCE_CREATION`
`management_system_device_cache_create`	`RESOURCE_CREATION`
`management_system_device_cache_delete`	`RESOURCE_DELETION`
`management_system_device_cache_delete_devices`	`RESOURCE_DELETION`
`management_system_download_device_api_script`	`DEVICE_PROGRAM_DOWNLOAD`
`management_system_pkcs12_enrollment`	`RESOURCE_CREATION`
`management_system_sync_failure`	`USER_UNCATEGORIZED`
`management_system_sync_success`	`USER_UNCATEGORIZED`
`management_system_update`	`USER_UNCATEGORIZED`
`management_system_view_password`	`RESOURCE_READ`
`management_system_view_token`	`RESOURCE_READ`
`phone_activation_code_regenerated`	`RESOURCE_CREATION`
`phone_associate`	`RESOURCE_CREATION`
`phone_create`	`RESOURCE_CREATION`
`phone_delete`	`RESOURCE_DELETION`
`phone_disassociate`	`RESOURCE_DELETION`
`phone_new_sms_passcode`	`RESOURCE_CREATION`
`phone_update`	`RESOURCE_WRITTEN`
`policy_create`	`RESOURCE_CREATION`
`policy_delete`	`RESOURCE_DELETION`
`policy_update`	`RESOURCE_WRITTEN`
`u2ftoken_create`	`RESOURCE_CREATION`
`u2ftoken_delete`	`RESOURCE_DELETION`
`user_not_enrolled_lockout`	`USER_CHANGE_PERMISSIONS`
`user_adminapi_lockout`	`USER_CHANGE_PERMISSIONS`
`user_lockout_cleared`	`USER_CHANGE_PERMISSIONS`
`webauthncredential_create`	`RESOURCE_CREATION`
`webauthncredential_delete`	`RESOURCE_DELETION`
`webauthncredential_rename`	`RESOURCE_WRITTEN`

Documentation de référence sur le mappage des champs : DUO_ACTIVITY

Le tableau suivant liste les champs de journaux du type de journal DUO_ACTIVITY et les champs UDM correspondants.

Log field	UDM mapping	Logic
	`principal.platform`	If the `access_device.os` log field value matches the regular expression pattern `(?i)Win`, then the `principal.platform` UDM field is set to `WINDOWS`. Else, if the `access_device.os` log field value matches the regular expression pattern `(?i)Lin`, then the `principal.platform` UDM field is set to `LINUX`. Else, if the `access_device.os` log field value matches the regular expression pattern `(?i)Mac`, then the `principal.platform` UDM field is set to `MAC`. Else, if the `access_device.os` log field value matches the regular expression pattern `(?i)ios`, then the `principal.platform` UDM field is set to `IOS`. Else, if the `access_device.os` log field value matches the regular expression pattern `(?i)Chrome`, then the `principal.platform` UDM field is set to `CHROME_OS`. Else, if the `access_device.os` log field value matches the regular expression pattern `(?i)Android`, then the `principal.platform` UDM field is set to `ANDROID`. Else, the `principal.platform` UDM field is set to `UNKNOWN_PLATFORM`.
`access_device.os_version`	`principal.platform_version`
`access_device.ip.address`	`principal.ip`
`access_device.location.country`	`principal.location.country_or_region`
`access_device.location.state`	`principal.location.state`
`access_device.location.city`	`principal.location.city`
`access_device.browser`	`principal.asset.attribute.labels[access_device_browser]`
`access_device.browser_version`	`principal.asset.attribute.labels[access_device_browser_version]`
`ts`	`metadata.event_timestamp`
`activity_id`	`metadata.product_log_id`
`akey`	`principal.asset.product_object_id`
`outcome.result`	`security_result.action_details`
`application.key`	`principal.resource.product_object_id`
`application.name`	`principal.application`
`application.type`	`principal.resource.resource_subtype`
`action.details`	`principal.user.attribute.labels[action_details]`
`action.name`	`metadata.product_event_type`
`actor.key`	`principal.user.userid`
`actor.name`	`principal.user.user_display_name`
`actor.type`	`principal.user.attribute.labels[actor_type]`
`target.key`	`target.asset.attribute.labels[target_key]`
`target.name`	`target.asset.hostname`
`target.type`	`target.asset.category`
`target.details`	`target.user.attribute.labels[target_details]`
`old_target.key`	`about.asset.attribute.labels[old_target_key]`
`old_target.name`	`about.asset.hostname`
`old_target.type`	`about.asset.category`
`old_target.details`	`about.user.attribute.labels[old_target_details]`
`actor.details.created`	`principal.user.first_seen_time`
`actor.details.last_login`	`principal.user.last_login_time`
`actor.details.status`	`principal.user.attribute.labels[status]`
`actor.details.email`	`principal.user.email_addresses`
`actor.details.group.key`	`principal.user.attribute.labels[actor_details_group_key]`
`actor.details.group.name`	`principal.user.attribute.labels[actor_details_group_name]`

Étapes suivantes

Ingestion de données dans Google SecOps

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.